strong authen ca on in and beyond the browser
play

Strong Authen,ca,on In and Beyond the Browser Lessons - PowerPoint PPT Presentation

Apr 24, 2023 •229 likes •322 views

Strong Authen,ca,on In and Beyond the Browser Lessons Learned from FIDO Brad Hill, PayPal, brad.hill@paypal.com Jeff Hodges, PayPal,

  1. Strong ¡Authen,ca,on ¡In ¡and ¡ Beyond ¡the ¡Browser ¡ ¡ ¡ Lessons ¡Learned ¡from ¡FIDO ¡ ¡ ¡ Brad ¡Hill, ¡PayPal, ¡brad.hill@paypal.com ¡ Jeff ¡Hodges, ¡PayPal, ¡jeff.hodges@paypal.com ¡ ¡ Davit ¡Baghdasaryan, ¡NokNok ¡Labs, ¡davit@noknok.com ¡ ¡ Chris,aan ¡Brand, ¡Entersekt, ¡chris,aan@entersekt.com ¡ ¡ Rob ¡PhilpoJ, ¡RSA, ¡robert.philpoJ@rsa.com ¡ ¡ ¡

  2. • Users ¡and ¡services ¡want ¡keys ¡that ¡are ¡ hardware-­‑bound ¡or ¡isolated ¡from ¡malware ¡ and ¡difficult ¡to ¡steal ¡ • Consumer ¡privacy ¡demands ¡that ¡devices ¡not ¡ be ¡“pre-­‑iden,fied” ¡or ¡linkable ¡ • Ergo: ¡services ¡make ¡consumers ¡complete ¡a ¡ (costly) ¡“registra,on ¡ceremony” ¡to ¡associate ¡ themselves ¡with ¡a ¡new ¡key ¡ • Once ¡they’ve ¡created ¡a ¡key, ¡users ¡expect ¡to ¡be ¡ able ¡to ¡use ¡it ¡everywhere ¡they ¡use ¡that ¡service ¡ with ¡that ¡device ¡(whether ¡embedded ¡or ¡ externally ¡connectable) ¡

  3. Services ¡have ¡many ¡ facets ¡ On ¡my ¡one ¡device ¡I ¡can ¡access ¡PayPal ¡as: ¡ • A ¡website ¡on ¡Chrome ¡for ¡Android ¡App ¡ • A ¡website ¡on ¡Chrome ¡Beta ¡for ¡Android ¡App ¡ • A ¡website ¡on ¡Firefox ¡for ¡Android ¡App ¡ • A ¡website ¡on ¡“Internet” ¡ ¡App ¡(Samsung ¡browser) ¡ • The ¡PayPal ¡App ¡ • The ¡eBay ¡App ¡ And ¡if ¡my ¡keystore ¡is ¡a ¡USB ¡or ¡BT ¡token, ¡those ¡ facets ¡may ¡be ¡in ¡different ¡compu,ng ¡environments, ¡ each ¡trusted ¡by ¡the ¡user ¡but ¡unknown ¡to ¡each ¡ other. ¡

  4. Just ¡solving ¡for ¡a ¡browser ¡is ¡not ¡ enough. ¡

  5. But ¡not ¡just ¡any ¡app ¡should ¡have ¡ access ¡to ¡the ¡user’s ¡key, ¡either ¡ • “PayPa1” ¡should ¡not ¡be ¡able ¡to ¡use ¡the ¡same ¡ registered ¡key ¡ • Or, ¡the ¡malicious ¡“Disgruntled ¡Avians” ¡app ¡ shouldn’t ¡be ¡able ¡to ¡prompt ¡me ¡to ¡“swipe ¡my ¡ finger ¡to ¡save ¡my ¡game” ¡and ¡actually ¡be ¡ taking ¡over ¡my ¡bank ¡account ¡

  6. Crypto ¡keys ¡need ¡a ¡new ¡reference ¡ monitor ¡ • Create ¡keys ¡and ¡associate ¡them ¡with ¡a ¡scope ¡ • Strongly ¡iden,fy ¡apps ¡aJemp,ng ¡to ¡use ¡keys ¡ and ¡determine ¡their ¡authoriza,on ¡for ¡that ¡ scope ¡ • We ¡call ¡this ¡reference ¡monitor ¡the ¡“FIDO ¡ Client” ¡in ¡our ¡solu,on ¡

  7. The ¡Pieces ¡of ¡the ¡Puzzle: ¡ • Key ¡scoping ¡mechanism ¡(“AppID”) ¡ • Scope ¡authoriza,on ¡mechanism ¡(“Trusted ¡Facet ¡List”) ¡ • Pla^orm-­‑specific* ¡reference ¡monitor ¡(“FIDO ¡Client”) ¡ • Set ¡of ¡logically-­‑equivalent ¡but ¡pla^orm-­‑appropriate ¡ APIs ¡to ¡access ¡reference ¡monitor ¡func,ons ¡from ¡Web ¡ apps, ¡Android, ¡iOS, ¡etc. ¡(<-­‑ ¡ W3C ¡goes ¡here?! ) ¡ ¡ *Full ¡feature ¡set ¡requires ¡a ¡pla^orm ¡no,on ¡of ¡“app ¡iden,ty” ¡ and ¡security ¡barriers ¡between ¡apps ¡that ¡are ¡not ¡present ¡in, ¡ all ¡systems ¡(e.g. ¡Win32, ¡POSIX) ¡

  8. API ¡func,onality ¡in ¡FIDO ¡ • Discovery: ¡allow ¡an ¡app ¡to ¡determine ¡what ¡authen,ca,on ¡ capabili,es/modali,es ¡are ¡available ¡in ¡user ¡agent ¡/ ¡device ¡ • Registra,on: ¡create ¡a ¡new ¡creden,al ¡and ¡register ¡it ¡with ¡a ¡ scope ¡ • Authen,ca,on: ¡provide ¡proof ¡of ¡control ¡of ¡(and ¡op,onally ¡ verify ¡a ¡transac,on ¡using) ¡a ¡registered ¡creden,al ¡ • Deregistra,on: ¡allow ¡a ¡server ¡to ¡manage ¡creden,al ¡ lifecycles ¡transparently ¡to ¡the ¡user ¡ See ¡also: ¡hJps://fidoalliance.org/specifica,ons/download ¡

Recommend

1 What%is%User%Authen.ca.on? 2 3 User%Authen+ca+on

1 What%is%User%Authen.ca.on? 2 3 User%Authen+ca+on

1 What%is%User%Authen.ca.on? 2 3 User%Authen+ca+on the%process%of%valida1ng%a%users%creden1als%against% what%is%saved%in%the%database Does%the%password%match%what%is%saved%in%the% database?

718 views • 14 slides
Unpacking authen.c academic texts: Approaches to the noun

Unpacking authen.c academic texts: Approaches to the noun

Unpacking authen.c academic texts: Approaches to the noun phrases on pre-sessional English language courses BALEAP Conference, No:ngham,

316 views • 31 slides
Authen'c learning and assessment As many ques+ons as answers! Professor

Authen'c learning and assessment As many ques+ons as answers! Professor

Authen'c learning and assessment As many ques+ons as answers! Professor Kevin Ashford-Rowe Synopsis This presenta'on will consider the role and value of authen2city as a

1.01k views • 45 slides
Authen(c Research Experiences in Laboratory Courses REIL-Biology

Authen(c Research Experiences in Laboratory Courses REIL-Biology

Authen(c Research Experiences in Laboratory Courses REIL-Biology Network Nitya Jacob, Gary Reiness, Elisabeth Schussler, Rachelle Spell non-presen(ng

823 views • 60 slides
Secure hashing, authen/ca/on root@topi:/etc# more shadow

Secure hashing, authen/ca/on root@topi:/etc# more shadow

Secure hashing, authen/ca/on root@topi:/etc# more shadow root:$6$1z2.CqoJ$bIb7HOC7ByvSVcLmpc1C5F/H.gAddflg1xa2fQKnMAOabwZI1YSLDiK2gIKuEbeo uGj33w8H4QDiWYvamlfIj2eu.:15138:0:99999:7:::

809 views • 25 slides
Authen'ca'on CS461/ECE422 Spring 2012 Readings Chapter 3

Authen'ca'on CS461/ECE422 Spring 2012 Readings Chapter 3

Authen'ca'on CS461/ECE422 Spring 2012 Readings Chapter 3 from text Rainbow tables hCp://kestas.kuliukas.com/RainbowTables/ Chapter 10 from Handbook of

536 views • 41 slides
( Recent Developments in Server Authen;ca;on) Trevor Perrin

( Recent Developments in Server Authen;ca;on) Trevor Perrin

Transparency, Trust Agility, Pinning ( Recent Developments in Server Authen;ca;on) Trevor Perrin &lt;trevp@trevp.net&gt; Cer;ficate Authori;es CA Web server requests

615 views • 40 slides
VQL: P Providing Quer ery E Efficien ency a and Data A Authen enticity in B Bloc ockchai

VQL: P Providing Quer ery E Efficien ency a and Data A Authen enticity in B Bloc ockchai

VQL: P Providing Quer ery E Efficien ency a and Data A Authen enticity in B Bloc ockchai ain S System ems Zhe Pe Peng, Haot aotian Wu, Bin Xi Xiao ao, Songtao Guo Query Design Motivation Blockchain techniques (cryptocurrency,

495 views • 17 slides
NC NCLC Plenar Plenary: y: Au Authen entic Mater erials in Tr Traditional and Virtual

NC NCLC Plenar Plenary: y: Au Authen entic Mater erials in Tr Traditional and Virtual

NC NCLC Plenar Plenary: y: Au Authen entic Mater erials in Tr Traditional and Virtual Chinese Ch se La Language Instru tructi tion on Panel Members: Sara Chao, New Trier High School, Winnetka, IL Luyi Lien, Yinghua Academy,

909 views • 41 slides
0 Simple Key Managemen t for PIM Authen tication Keys Thomas Hardjono Brad Cain Ba y

0 Simple Key Managemen t for PIM Authen tication Keys Thomas Hardjono Brad Cain Ba y

0 Simple Key Managemen t for PIM Authen tication Keys Thomas Hardjono Brad Cain Ba y Arc hitecture Lab oratory Nortel Net w orks 3 F ederal Steet Billerica, MA 01821 USA f thardjono,b cain g @ba ynet w orks.com 1

318 views • 6 slides
Browser and Network request Browser website CS 4803 reply Network OS Computer and Network

Browser and Network request Browser website CS 4803 reply Network OS Computer and Network

Browser and Network request Browser website CS 4803 reply Network OS Computer and Network Security Hardware Alexandra (Sasha) Boldyreva Browser sends requests May reveal private information (in forms, cookies) Web security.

517 views • 7 slides
RequireJS Javascript Modules for the Browser By Ben Keith Quoin, Inc. Traditional Browser JS

RequireJS Javascript Modules for the Browser By Ben Keith Quoin, Inc. Traditional Browser JS

RequireJS Javascript Modules for the Browser By Ben Keith Quoin, Inc. Traditional Browser JS One global namespace Often inline JS code embedded directly in HTML Many &lt;script&gt; tags with hidden ordering dependencies Very

362 views • 15 slides
Circumventing Internet censorship with Tor Philipp Winter The Tor Project What Tor Browser does

Circumventing Internet censorship with Tor Philipp Winter The Tor Project What Tor Browser does

Circumventing Internet censorship with Tor Philipp Winter The Tor Project What Tor Browser does Standard Tor is easy to block GetTor helps you get Tor Browser GetTor helps you get Tor Browser Tor Browser ships with default

567 views • 24 slides
THE BROWSER IS DEAD Dan North Dan North &amp; Associates LONG LIVE THE BROWSER! Dan North

THE BROWSER IS DEAD Dan North Dan North &amp; Associates LONG LIVE THE BROWSER! Dan North

THE BROWSER IS DEAD Dan North Dan North &amp; Associates LONG LIVE THE BROWSER! Dan North Dan North &amp; Associates The gangs 1990: Tim Berners-Lee - (WorldWideWeb) 1993: NCSA Mosaic 1994: Netscape - Navigator 1995: Microsoft -

971 views • 21 slides
CS371m - Mobile Computing WebView and Web Services Using Built In Browser App To use the

CS371m - Mobile Computing WebView and Web Services Using Built In Browser App To use the

CS371m - Mobile Computing WebView and Web Services Using Built In Browser App To use the built in browser create an Intent and start the Activity 2 WebView A View that display web pages basis for creating your own web browser OR

1.28k views • 54 slides
GWT-Gears The Browser is the Platform The Browser is the Platform Didier Girard

GWT-Gears The Browser is the Platform The Browser is the Platform Didier Girard

GWT-Gears The Browser is the Platform The Browser is the Platform Didier Girard girard.d@sfeir.com Sfeir CTO Member of OSSGTP Before starting, some questions Who knows javascript ? Who is a javascript expert ? Who knows java ?

1.57k views • 93 slides
Google Chrome The Invisible Browser Ben Goodger Tech Lead, User Interface Google Inc.

Google Chrome The Invisible Browser Ben Goodger Tech Lead, User Interface Google Inc.

Google Chrome The Invisible Browser Ben Goodger Tech Lead, User Interface Google Inc. Beginnings A new browser... a new opportunity A modern platform for web applications Objective: An Invisible Browser Deliver a transparent experience:

557 views • 9 slides
WEB AND BROWSER SECURITY Ben Livshits, Microsoft Research Web Application Vulnerabilities &amp;

WEB AND BROWSER SECURITY Ben Livshits, Microsoft Research Web Application Vulnerabilities &amp;

WEB AND BROWSER SECURITY Ben Livshits, Microsoft Research Web Application Vulnerabilities &amp; Defenses 2 Server-side woes Browser mechanisms: Same origin SQL injection Cross-domain request XSS overview Content

738 views • 50 slides
Browser UX in VR Is The Web Accessible at All in VR? Oculus Overview Virtual Desktop &amp;

Browser UX in VR Is The Web Accessible at All in VR? Oculus Overview Virtual Desktop &amp;

Oculus Browser UX in VR Is The Web Accessible at All in VR? Oculus Overview Virtual Desktop &amp; Browser VR Apps Have Long Engagement Times How? Did they do something special? Uncomfortable Yet Still Compelling Content High

362 views • 6 slides
If you are viewing this presentation in a PDF, please stop and open the slides in browser (slides

If you are viewing this presentation in a PDF, please stop and open the slides in browser (slides

If you are viewing this presentation in a PDF, please stop and open the slides in browser (slides in the browser look way better): https://switowski.github.io/functional-css-talk/ 1 1 Maintainable CSS with visual regression testing and

850 views • 37 slides
Download for PC The most accessible web browser available. Download Step 1:

Download for PC The most accessible web browser available. Download Step 1:

Download for PC The most accessible web browser available. Download Step 1: https://www.google.com/intl/en/chrome/browser/ Step 2: Accept Terms of Service Download Step 3: Double Click on Download Step 4: Run Installation Download Select

496 views • 14 slides
How to protect your browser 0-day Codenamed #IRONSQUIRREL TS//SI//FVEY FOUO//SI//FVEY Zoltan

How to protect your browser 0-day Codenamed #IRONSQUIRREL TS//SI//FVEY FOUO//SI//FVEY Zoltan

How to protect your browser 0-day Codenamed #IRONSQUIRREL TS//SI//FVEY FOUO//SI//FVEY Zoltan Balazs MRG Effitas 2017 November Whoami? Zombie Browser Toolkit https://github.com/Z6543/ZombieBrowserPack HWFW Bypass tool Idea later(?)

711 views • 55 slides
Understanding and Combating Man-in-the- Browser Attacks 22 nd Annual FIRST Conference 16 June

Understanding and Combating Man-in-the- Browser Attacks 22 nd Annual FIRST Conference 16 June

Understanding and Combating Man-in-the- Browser Attacks 22 nd Annual FIRST Conference 16 June 2010 Jason Milletary Topics What is a Man-in-the-Browser Attack? How are they used? How can I identify and mitigate when they are

207 views • 18 slides
L2: Browser/HTML/Accessibility Web Engineering 188.951 2VU SS20 Jrgen Cito L2:

L2: Browser/HTML/Accessibility Web Engineering 188.951 2VU SS20 Jrgen Cito L2:

L2: Browser/HTML/Accessibility Web Engineering 188.951 2VU SS20 Jrgen Cito L2: Browser/HTML/Accessibility Browser Overview Semantic HTML Accessibility for the Web Web Accessibility Initiative (WAI) Learning Goals

513 views • 34 slides

More recommend